Как мне настроить шифрование только корневого раздела?

Question 1

У меня есть 3 раздела: EFI (/boot/efi), загрузочный (/boot) и корневой (/). Я хочу зашифровать просто /. Я могу сделать это вручную с помощью установщика, но я хочу сделать это.

Как мне это определить? Мой (незашифрованный) рецепт выглядит примерно так: Это что-то вроде путаницы предложений по системным разделам EFI, которые я нашел (не нашел четкого руководства).

boot-root ::
  100 100 100 fat32
    $primary
    $iflabel{ gpt }
    $reusemethod( }
    use_filesystem{ } filesystem{ vfat }
    method{ efi } format{ }
    mountpoint{ /boot/efi }
  .
  300 300 300 ext4
    use_filesystem{ } filesystem{ ext4 }
    method{ format } format{ }
    mountpoint{ /boot }
  .
  100% 3000 100% ext4
    use_filesystem{ } filesystem{ ext4 }
    method{ format } format{ }
    mountpoint{ / }
  .

Как сделать sda3 физическим разделом для LUKS-шифрования, а затем иметь файловую систему поверх этого?

ОБНОВЛЕНИЕ:

Я обнаружил, что могу установите раздел для шифрования, как показано ниже, но есть еще 3 проблемы:

Мне все еще нужно создать и активировать зашифрованные тома на выбранном разделе
Мне все еще нужно установить правильная файловая система ext4 на зашифрованном томе после создания и активации
В рецепте не выбирается тип шифрования dm-crypt, необходимый для создания и активации зашифрованных томов.

Все еще борется изо всех сил

boot-root ::
  100 100 100 fat32
    $primary
    $iflabel{ gpt }
    $reusemethod( }
    use_filesystem{ } filesystem{ vfat }
    method{ efi } format{ }
    mountpoint{ /boot/efi }
  .
  300 300 300 ext4
    use_filesystem{ } filesystem{ ext4 }
    method{ format } format{ }
    mountpoint{ /boot }
  .
  100% 3000 100% ext4
    method{ crypto } format{ }
  .

Question 2

Сначала, откройте корневой терминал:

sudo -i

Затем заполните раздел, который должен быть зашифрован со случайными данными с помощью команды как это:

openssl enc -aes-256-ctr -pass pass:"$(dd if=/dev/urandom bs=128 count=1 2>/dev/null | base64)" -nosalt < /dev/zero > /dev/sdxy

Необходимо заменить sdxy с разделом, который будет зашифрован. Затем введите

cryptsetup luksFormat --cipher twofish-xts-plain64 --key-size 512 --hash sha512 --iter-time 2000 /dev/sdxy

зашифровать раздел sdxy. Откройте объем и назовите его root:

cryptsetup luksOpen /dev/sdxy root

Используйте эту команду для создания ext4 файловой системы в нем:

mkfs.ext4 /dev/mapper/root

Затем можно запустить установщик. Выбрал "Something else", будучи спрошенным, что требуется сделать. Затем выбрал точки монтирования для всех Ваш не - зашифрованные разделы. Для Вашего root раздел, выбрать /dev/mapper/root, нажмите "Change". Затем выберите ext4 для типа файловой системы и набора точка монтирования к /. Затем нажмите "Install now" и устанавливайте Ubuntu обычно.

Когда закончено установка нажимает "Continue testing". Откройте терминал и тип:

sudo -i
cd /mnt
mkdir root
mount /dev/mapper/root root
mount /dev/sdyz root/boot

sdyz должен быть заменен Вашим boot раздел. Затем, тип:

chroot root
mount -t proc proc /proc
mount -t sysfs sys /sys
nano /etc/crypttab

Откройте второй терминал и тип sudo blkid. Найдите UUID для root (тот, который говорит crypto_luks в конце) и вставка это в /etc/crypttab. Затем файл /etc/crypttab должен выглядеть примерно так:

root UUID=d68911dd-172a-4608-86d4-084eb72f409c none luks

Закройте файл с Ctrl+x, y и Войдите. Ввести nano /etc/fstab в терминале и проверке, если все выглядит правильным (например, UUID).

Наконец, выйдите из chroot среды и типа:

cryptsetup luksHeaderBackup /dev/sdxy --header-backup-file /root/root.img

Это помещает изображение заголовка зашифрованного раздела в папку /root и имена это root.img. Затем переместите изображение во внешний диск (в случае упущения пароля). Теперь можно перезагрузить в недавно установленную Ubuntu.

Источник: http://thesimplecomputer.info/full-disk-encryption-with-ubuntu

Melebius · Answer 1 · 6 May 2016 в 06:54